El sitio web de tutoría en línea UStrive ha solucionado un fallo de seguridad que exponía la información personal de sus usuarios, incluidos los niños.
Los datos expuestos incluían los nombres completos de los usuarios de UStrive, direcciones de correo electrónico, números de teléfono y otra información no pública y proporcionada por el usuario a la que podía acceder cualquier otro usuario que hubiera iniciado sesión.
La organización sin fines de lucro, anteriormente conocida como Strive for College, ofrece tutoría en línea para estudiantes de secundaria y universitarios a través de su plataforma. La organización se negó a decir si planea notificar a los usuarios sobre el incidente de seguridad.
La semana pasada, una persona que no quiso ser identificada alertó a TechCrunch sobre la falla de seguridad en la plataforma de tutoría de UStrive. Al examinar el tráfico de la red durante el inicio de sesión y mientras navega por el sitio (por ejemplo, al ver los perfiles de los usuarios), cualquiera podría ver flujos de información personal del usuario en las herramientas de su navegador.
La persona dijo que UStrive dependía de un punto final GraphQL vulnerable alojado en Amazon, un tipo de interfaz de base de datos de consulta, que permitía el acceso a una gran cantidad de datos de usuario almacenados en los servidores de UStrive. Algunos registros de usuarios contenían más datos que otros, incluida información proporcionada por los estudiantes, como sexo y fecha de nacimiento. La persona dijo que había al menos 238.000 registros de usuarios en el momento del descubrimiento. UStrive ahora afirma en su página de inicio que más de “1,1 millones de estudiantes han elegido un mentor de UStrive”.
TechCrunch confirmó la divulgación de los datos después de que se creara una nueva cuenta de usuario en UStrive y notificara a los ejecutivos de la compañía por correo electrónico el jueves.
John D. McIntyre, abogado del bufete de abogados McIntyre Stein de Virginia, que representa a UStrive, dijo en una carta a TechCrunch más tarde el jueves que UStrive “actualmente está involucrado en un litigio con uno de sus antiguos ingenieros de software” y, como resultado, la empresa está “algo limitada en su capacidad de responder”.
TechCrunch le dijo a McIntyre que en ese momento la compañía todavía tenía una vulnerabilidad de seguridad con respecto a la divulgación de información personal y privada de los niños, y le pidió a McIntyre que notificara a TechCrunch si UStrive planeaba arreglar la divulgación de datos y, de ser así, cuándo.
McIntyre no respondió a nuestra solicitud.
En respuesta a la comunicación inicial de TechCrunch, Dwamian Mcleish, director de tecnología de UStrive, le dijo a TechCrunch por correo electrónico el jueves por la noche que la divulgación había sido “resuelta”.
TechCrunch envió correos electrónicos de seguimiento a Mcleish con preguntas adicionales sobre el incidente, que incluyen: si la empresa planea informar a sus usuarios sobre la vulnerabilidad, si la empresa tiene la capacidad de verificar si se ha producido un acceso ilegal o malicioso a los datos del usuario y si la plataforma de la empresa ha sido sujeta a una auditoría de seguridad y, de ser así, por quién.
El fundador de UStrive, Michael J. Carter, no hizo comentarios para este artículo.
About The Author
